Definition Was ist der Cloud Act?

Autor / Redakteur: SiLip / Heidi Schuster

Der Cloud Act ist ein 2018 erlassenes US-amerikanisches Gesetz, das US-Behörden den Zugriff auf außerhalb der USA gespeicherte Daten US-amerikanischer IT-Firmen und Cloud-Provider gestattet. Cloud steht für Clarifying Lawful Overseas Use of Data.

Firma zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Aus Sicht der US-Regierung war der Cloud Act aufgrund der unklaren Rechtslage für die Herausgabe von Daten von außerhalb der USA gelegenen Standorten erforderlich geworden. Unter anderem hatte sich Microsoft diesbezüglichen Anordnungen mit der Begründung widersetzt, dass nach geltendem Recht nur in den USA gespeicherte Daten an die Behörden herauszugeben seien. Mit dieser Argumentation ging Microsoft bis vor das höchste US-amerikanische Gericht, den US Supreme Court. Das Verfahren wurde nach Erlass des Cloud Acts ohne Urteil beendet.

Wen betrifft der Cloud Act?

Der Cloud Act betrifft insbesondere US-amerikanische IT-Unternehmen sowie deren Tochterfirmen. Diese müssen nicht nur die eigenen Daten herausgeben, sondern auch die ihrer Kunden, sofern sie sich in ihrer Obhut und Kontrolle befinden. Letzteres gilt vor allem für Kundendaten, die in den Cloud-Infrastrukturen von US-Providern gespeichert sind. Somit haben die US-Behörden auch Zugriff auf Daten, die in europäischen Rechenzentren US-amerikanischer Provider gespeichert sind.

Die Herausgabeanordnung nach diesem Gesetz kann auch Daten europäischer Unternehmen betreffen, sofern diese Cloud-Reserven an einem europäischen Rechenzentrumsstandort eines US-Providers nutzen. Ein Standort innerhalb der EU schützt somit nicht automatisch vor dem Datenzugriff von US-amerikanischer Seite.

Cloud Act vs. DSGVO

Mit der DSGVO ist der Cloud Act nicht vereinbar. Jegliche Datenweitergabe auf Grundlage dieses Gesetzes steht in grundsätzlichem Widerspruch zu den DSGVO-Prinzipien. So dürfen Daten nach Artikel 48 DSGVO nur aufgrund einer behördlichen Entscheidung oder eines Gerichtsurteils in ein Drittland herausgegeben werden, wenn zwischen diesem und der EU bzw. einem EU-Mitgliedsstaat ein spezielles Rechtshilfeabkommen existiert. Das ist bislang zwischen der EU und den USA nicht der Fall.

In der EU ansässige Tochterfirmen von US-Unternehmen sind somit in der Zwickmühle. Entweder sie verweigern die Herausgabe der Daten und verstoßen damit gegen US-Recht oder sie beugen sich dem Cloud Act und verstoßen gegen EU-Recht. Entscheiden sie sich für Letzteres, droht ihnen ein Bußgeld von bis zu 20 Millionen Euro.

Kritik am Cloud Act

Nach Ansicht der US-Datenschutzorganisation Electronic Frontier Foundation (EFF) handelt es sich beim Cloud Act um ein "gefährliches Gesetz". Die im Juli 1990 gegründete Stiftung wertet das Gesetz als Eingriff in die Privatsphäre und als Beschneidung der Grundrechte. Microsoft übte ebenfalls scharfe Kritik.

(ID:47779818)